Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: AV meldet Vundo.gen259, find ihn aber nicht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 27.08.2008, 15:56   #1
FSt_CH
 
AV meldet Vundo.gen259, find ihn aber nicht - Standard

AV meldet Vundo.gen259, find ihn aber nicht



Hallo Leute

Mein AV "Norman" meldet mir, dass es sich bei einer Illustrator-Datei (Transparenzen-Palette.aip) plötzlich um einen Trojaner handeln soll. Beim Scan wurde die entsprechende Datei in die Quarantäne verschoben. Jetzt hab ich noch den HJT laufen lassen und find aber keine verdächtigen Einträge.
Leider muss ich aber gestehen, dass es auf meinem System vermutlich irgendwo einen Trojaner hat. Irgendjemand ist jedenfalls mit nur mir bekannten FTP-Passwörtern auf diversen Servern gewesen.
Danke jetzt schon mal für Eure Hilfe.

Gruss
Martin

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:29, on 27.8.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Norman\Npm\bin\ELOGSVC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Norman\Npm\Bin\Zanda.exe
C:\Norman\npm\bin\nvoy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Norman\Npm\Bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\BOINC\boincmgr.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Extensis\Extensis Suitcase 11\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\BOINC\boinc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\mgabg.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\Programme\OPTI-SAFE Xtreme\upsagentd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OPTI-SAFE Xtreme\upsis.exe
C:\Norman\Npm\bin\NVCSCHED.EXE
C:\Norman\Npm\bin\NJEEVES.EXE
C:\Norman\nse\bin\NSESVC.EXE
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\Bin\Nip.exe
C:\Norman\Nvc\Bin\cclaw.exe
C:\Programme\BOINC\projects\setiathome.berkeley.edu\setiathome_6.03_windows_intelx86.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 80.74.142.136 w*w.playit.ch
O1 - Hosts: 80.74.142.136 p*ayit.ch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Update Helper - {25D596E9-BD03-4D4A-8310-5DF3B31E8D26} - C:\Programme\Google\Update\1.2.121.17\GoopdateBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: BOINC Manager.lnk = C:\Programme\BOINC\boincmgr.exe
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Startup: Suitcase 11.0.lnk = C:\Programme\Extensis\Extensis Suitcase 11\Suitcase.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: Suitcase 11.0.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.update.microsoft.com
O15 - Trusted Zone: h**p://www.spamcop.net
O15 - Trusted Zone: h**p://metaservices.windowsmedia.com
O15 - Trusted Zone: h*p://download.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120454243281
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Unknown owner - C:\PROGRA~1\0190WA~1\0900WA~1\w0svc.exe (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Extensis\Extensis Suitcase 11\Bonjour\mDNSResponder.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE
O23 - Service: Google Update Service (gupdate1c8c216e5608a3c) (gupdate1c8c216e5608a3c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Norman\nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Npm\bin\NVCSCHED.EXE
O23 - Service: Norman's Very Own supplY of resources (NVOY) - Norman ASA - C:\Norman\npm\bin\nvoy.exe
O23 - Service: OPTI-SAFE Xtreme OnEvent (onevent) - Unknown owner - C:\Programme\OPTI-SAFE Xtreme\ntevent.exe
O23 - Service: OPTI-SAFE Xtreme UPS (powersrv) - Unknown owner - C:\Programme\OPTI-SAFE Xtreme\ntsrv.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: OPTI-SAFE Xtreme SNMP Agent (SNMPAGENTSRV) - Unknown owner - C:\Programme\OPTI-SAFE Xtreme\upsagentd.exe
O23 - Service: OPTI-SAFE Xtreme Web Server (upsis) - Unknown owner - C:\Programme\OPTI-SAFE Xtreme\upsis.exe

--
End of file - 9744 bytes

Alt 27.08.2008, 18:13   #2
FSt_CH
 
AV meldet Vundo.gen259, find ihn aber nicht - Standard

AV meldet Vundo.gen259, find ihn aber nicht



Hab noch was gefunden ...

Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x12a18ac1 size 0x1aa !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
         
nach mbr.exe -f steht:
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
__________________


Geändert von FSt_CH (27.08.2008 um 19:08 Uhr) Grund: Anweisung des Programms ausgeführt

Alt 27.08.2008, 19:03   #3
FSt_CH
 
AV meldet Vundo.gen259, find ihn aber nicht - Standard

AV meldet Vundo.gen259, find ihn aber nicht



und noch den Backlight:
Code:
ATTFilter
08/27/08 19:13:55 [Info]: BlackLight Engine 1.0.70 initialized
08/27/08 19:13:55 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/27/08 19:13:56 [Note]: 7019 4
08/27/08 19:13:56 [Note]: 7005 0
08/27/08 19:14:01 [Note]: 7006 0
08/27/08 19:14:01 [Note]: 7011 1856
08/27/08 19:14:01 [Note]: 7035 0
08/27/08 19:14:01 [Note]: 7026 0
08/27/08 19:14:01 [Note]: 7026 0
08/27/08 19:14:09 [Note]: FSRAW library version 1.7.1024
08/27/08 19:25:50 [Note]: 2000 1012
08/27/08 20:02:43 [Note]: 7007 0
         
__________________

Antwort

Themen zu AV meldet Vundo.gen259, find ihn aber nicht
adobe, antivirus, antivirus scan, bho, bonjour, computer, excel, explorer, firefox, google, gupdate, handel, hijack, hijackthis, internet, internet explorer, logfile, mozilla, mozilla firefox, norman, scan, server, software, symantec, system, trojaner, vundo.gen, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: AV meldet Vundo.gen259, find ihn aber nicht


  1. Windows 8: key-find.com lässt sich nicht entfernen vom Internet-Explorer
    Plagegeister aller Art und deren Bekämpfung - 14.05.2015 (1)
  2. McAfee meldet Trojaner Artemis!88866BFA9466, entfernt ihn aber nicht
    Log-Analyse und Auswertung - 13.04.2014 (43)
  3. Avast! meldet: infiziert von VAFPlayer [PUP], kann es aber nicht selbst löschen
    Log-Analyse und Auswertung - 12.01.2014 (9)
  4. Kasperky meldet Trojaner, aber beim Scan findet er ihn nicht
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (7)
  5. can not find dwlgina3.dll. windows 7 startet nicht.
    Plagegeister aller Art und deren Bekämpfung - 24.01.2012 (7)
  6. Can not find dwlgina3.dll --> Rechner lässrt sich nicht starten
    Plagegeister aller Art und deren Bekämpfung - 16.11.2011 (3)
  7. ClamXav meldet Desinfektion, kann sie aber nicht beseitigen
    Alles rund um Mac OSX & Linux - 02.03.2011 (9)
  8. Vundo anscheinend entfernt...aber Rechner ist trotzdem noch langsam?!?!
    Log-Analyse und Auswertung - 08.04.2009 (5)
  9. Antivir meldet Vundo
    Plagegeister aller Art und deren Bekämpfung - 07.04.2009 (4)
  10. Antivir meldet TR/Vundo.gen
    Plagegeister aller Art und deren Bekämpfung - 24.02.2009 (22)
  11. Verdacht ... find' aber nix
    Log-Analyse und Auswertung - 19.02.2009 (1)
  12. AntiVir meldet "TR/Crypt.XPACK.gen" kann ihn aber nicht entfernen
    Log-Analyse und Auswertung - 05.06.2008 (2)
  13. Trojaner aller art,vorallem aber TR/Vundo.DRT
    Plagegeister aller Art und deren Bekämpfung - 23.12.2007 (7)
  14. Firewall meldet Fehler TR/Vundo.Gen
    Antiviren-, Firewall- und andere Schutzprogramme - 14.10.2007 (1)
  15. find.bat läuft nicht
    Plagegeister aller Art und deren Bekämpfung - 10.09.2007 (1)
  16. TR/Vundo.gen erfolgreich bekämpft, aber er hat spuren hinterlassen...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2007 (10)

Zum Thema AV meldet Vundo.gen259, find ihn aber nicht - Hallo Leute Mein AV "Norman" meldet mir, dass es sich bei einer Illustrator-Datei (Transparenzen-Palette.aip) plötzlich um einen Trojaner handeln soll. Beim Scan wurde die entsprechende Datei in die Quarantäne verschoben. - AV meldet Vundo.gen259, find ihn aber nicht...
Archiv
Du betrachtest: AV meldet Vundo.gen259, find ihn aber nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.